專利名稱：一種基于可信度的無(wú)線局域網(wǎng)可信接入方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及接入認(rèn)證領(lǐng)域，特別是涉及一種基于可信度的無(wú)線局域網(wǎng)可信接入方 法及系統(tǒng)。
背景技術(shù)：
可信網(wǎng)絡(luò)連接(Trusted Network Connection, TNC)技術(shù)是建立在可信計(jì)算技術(shù) 之上的，其主要目的在于以可信計(jì)算提供的終端安全技術(shù)為依托，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全可 信，將信任鏈進(jìn)一步延伸到整個(gè)網(wǎng)絡(luò)中。TNC不是全新的技術(shù)實(shí)現(xiàn)，而是綜合現(xiàn)有成熟的網(wǎng) 絡(luò)訪問(wèn)控制技術(shù)(例如802. lx、IKE、ΕΑΡ、Radius)來(lái)實(shí)現(xiàn)安全可信的接入控制功能。TNC構(gòu)架的主要目的是通過(guò)提供一個(gè)由成熟的接入認(rèn)證協(xié)議和規(guī)范組成的開(kāi)放性 框架來(lái)實(shí)現(xiàn)一種普適通用的接入認(rèn)證技術(shù)，它提供如下功能身份認(rèn)證與可信驗(yàn)證用于驗(yàn)證網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者身份的合法性，以及平臺(tái)的完整 性狀態(tài)。訪問(wèn)授權(quán)為終端的狀態(tài)建立一個(gè)可信級(jí)別，例如確認(rèn)應(yīng)用程序的存在性、狀 態(tài)、升級(jí)情況，升級(jí)防病毒軟件和IDS的規(guī)則庫(kù)的版本，終端操作系統(tǒng)和應(yīng)用程序的補(bǔ)丁級(jí) 別等，從而使終端被給予一個(gè)訪問(wèn)網(wǎng)絡(luò)的權(quán)限。評(píng)估、隔離及補(bǔ)救通過(guò)評(píng)估終端的可信狀態(tài)，確保不符合可信策略要求的終端機(jī) 能被隔離在可信網(wǎng)絡(luò)之外，如果滿足策略要求則對(duì)其執(zhí)行補(bǔ)救操作。TNC提出了實(shí)現(xiàn)移動(dòng)終端入網(wǎng)時(shí)可信驗(yàn)證的總體技術(shù)框架，但在可信接入認(rèn)證具 體實(shí)現(xiàn)機(jī)制和移動(dòng)終端可信狀態(tài)量化分析等方面還有待深入，在可信接入與補(bǔ)救的實(shí)現(xiàn)框 架、協(xié)議和流程方面的研究還缺乏對(duì)具體網(wǎng)絡(luò)實(shí)施方案和細(xì)節(jié)的規(guī)范化和標(biāo)準(zhǔn)化，這不利 于可信網(wǎng)絡(luò)產(chǎn)品和設(shè)備的開(kāi)發(fā)、實(shí)現(xiàn)以及互連互通，因此對(duì)可信網(wǎng)絡(luò)接入各方面的技術(shù)還 需要通過(guò)深入研究不斷細(xì)化完善。TNC建議的接入認(rèn)證協(xié)議IF-T基于EAP(Extensible Authentication Protocol, πΤ ΓΜτΛ Ε^ )，iK^J^t TCP/IP (Transmission Control Protocol/InternetProtocol,傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)層，且使用了 “內(nèi)部”和“外 部”EAP方法，協(xié)議棧結(jié)構(gòu)和分組封裝都比較復(fù)雜。

發(fā)明內(nèi)容
本發(fā)明提供一種基于可信度的無(wú)線局域網(wǎng)可信接入方法及系統(tǒng)，用以解決現(xiàn)有技 術(shù)中存在的移動(dòng)終端在可信接入方面不夠完善的問(wèn)題。為達(dá)上述目的，一方面，本發(fā)明提供一種基于可信度的無(wú)線局域網(wǎng)可信接入方法， 所述方法包括以下步驟在移動(dòng)終端的接入身份認(rèn)證成功之后，根據(jù)安全參數(shù)設(shè)置計(jì)算接入認(rèn)證系統(tǒng)的接 入門(mén)限可信度Ka以及所述移動(dòng)終端的可信度K ；當(dāng)所述移動(dòng)終端的可信度K等于接入門(mén)限可信度Ka時(shí)，允許所述移動(dòng)終端接入無(wú) 線局域網(wǎng)。
進(jìn)一步，在移動(dòng)終端的接入身份認(rèn)證成功之后，還需計(jì)算接入認(rèn)證系統(tǒng)的補(bǔ)救門(mén) 限可信度Kk ；當(dāng)所述移動(dòng)終端的可信度K小于補(bǔ)救門(mén)限可信度Kk時(shí)，不允許所述移動(dòng)終端接入 無(wú)線局域網(wǎng)；當(dāng)所述移動(dòng)終端的可信度K大于等于補(bǔ)救門(mén)限可信度Kk、且小于其接入門(mén)限可信 度Ka時(shí)，對(duì)所述移動(dòng)終端進(jìn)行可信補(bǔ)救，可信補(bǔ)救之后，重新計(jì)算其可信度K，進(jìn)行重新認(rèn) 證。進(jìn)一步，所述移動(dòng)終端的可信度K通過(guò)公式(1)計(jì)算K = YjW^i(1)
/=1其中，Wi為所述移動(dòng)終端第i個(gè)文件的歸一化權(quán)重值屯為所述移動(dòng)終端第i個(gè) 文件的可信度；η為所述移動(dòng)終端進(jìn)行可信接入認(rèn)證需驗(yàn)證的文件個(gè)數(shù)。進(jìn)一步，所述移動(dòng)終端第i個(gè)文件的可信度Ici通過(guò)公式(2)計(jì)算
mK = IwllJcii(2)
戶1其中，Wu為所述移動(dòng)終端第i個(gè)文件中第j個(gè)屬性的可信權(quán)重；ku為所述移動(dòng)終 端第i個(gè)文件中第j個(gè)屬性的可信度；m為所述移動(dòng)終端第i個(gè)文件中需驗(yàn)證的屬性個(gè)數(shù)。進(jìn)一步，當(dāng)所述移動(dòng)終端第i個(gè)文件中第j個(gè)屬性通過(guò)可信驗(yàn)證時(shí)，k.j通過(guò)公式 ⑶計(jì)算= δ ^(1-δ ^ Xsij (3)其中，δ i為所述移動(dòng)終端第i個(gè)文件的可信度先驗(yàn)值；su為所述移動(dòng)終端第i個(gè) 文件中屬性j的驗(yàn)證成功系數(shù)。進(jìn)一步，當(dāng)所述移動(dòng)終端第i個(gè)文件中第j個(gè)屬性沒(méi)有通過(guò)可信驗(yàn)證時(shí)，k.j通過(guò) 公式⑷計(jì)算= (1-fij) XSi (4)其中，δ i為所述移動(dòng)終端第i個(gè)文件的可信度先驗(yàn)值為所述移動(dòng)終端第i個(gè) 文件中屬性j的驗(yàn)證失敗系數(shù)。進(jìn)一步，當(dāng)所屬移動(dòng)終端進(jìn)行可信接入認(rèn)證時(shí)需驗(yàn)證的所有文件的所有屬性都通 過(guò)可信驗(yàn)證時(shí)，根據(jù)公式(1) (2) (3)計(jì)算出的K值就是KA。進(jìn)一步，所述移動(dòng)終端通過(guò)可信認(rèn)證協(xié)議與可信服務(wù)器進(jìn)行通信，進(jìn)行可信認(rèn) 證；所述可信認(rèn)證協(xié)議的分組格式包括代碼、標(biāo)識(shí)符、長(zhǎng)度1、類型、標(biāo)志域、版本、長(zhǎng) 度2、屬性、長(zhǎng)度3。進(jìn)一步，所述移動(dòng)終端與可信補(bǔ)救服務(wù)器需通過(guò)補(bǔ)救協(xié)議進(jìn)行通信；所述補(bǔ)救協(xié)議的分組格式包括消息類型、長(zhǎng)度、補(bǔ)救ID、可信度、資源定位碼其 中，資源定位碼包括相對(duì)定位碼和全局定位碼。另一方面，本發(fā)明還提供一種基于可信度的無(wú)線局域網(wǎng)可信接入系統(tǒng)，包括移動(dòng) 終端和無(wú)線可信接入點(diǎn)，所述系統(tǒng)包括可信接入服務(wù)器，用于在移動(dòng)終端的接入身份認(rèn)證成功之后，計(jì)算所述移動(dòng)終端的可信度K和接入認(rèn)證系統(tǒng)的接入門(mén)限可信度Ka和補(bǔ)救門(mén)限可信度Kk ；并根據(jù)K、KA和Κκ， 判定是否允許所述移動(dòng)終端接入無(wú)線局域網(wǎng)；可信補(bǔ)救服務(wù)器，用于當(dāng)K大于等于Kk、且小于Ka時(shí)，對(duì)所述移動(dòng)終端進(jìn)行補(bǔ)救操 作，以提高其可信度。本發(fā)明有益效果如下本發(fā)明提出的可信接入方法，有利于對(duì)移動(dòng)終端的入網(wǎng)進(jìn)行安全控制；在認(rèn)證過(guò) 程中實(shí)現(xiàn)了對(duì)移動(dòng)終端可信狀態(tài)信息的量化評(píng)估，并且針對(duì)不同的可信度實(shí)施不同的處理 機(jī)制，認(rèn)證粒度更細(xì)，便于實(shí)際應(yīng)用；另外，本發(fā)明實(shí)施無(wú)需對(duì)現(xiàn)有設(shè)備進(jìn)行較大的改動(dòng)，實(shí) 施和部署都比較方便。


圖1為本發(fā)明實(shí)施例一種基于可信度的無(wú)線局域網(wǎng)可信接入方法的流程圖；圖2為本發(fā)明實(shí)施例可信認(rèn)證協(xié)議分組格式圖；圖3為本發(fā)明實(shí)施例可信認(rèn)證協(xié)議封裝圖；圖4為本發(fā)明實(shí)施例可信接入認(rèn)證流程圖；圖5為本發(fā)明實(shí)施例補(bǔ)救協(xié)議分組格式圖；圖6為本發(fā)明實(shí)施例可信補(bǔ)救協(xié)義分組在EAP分組中的封裝圖；圖7為本發(fā)明實(shí)施例可信補(bǔ)救流程圖；圖8為本發(fā)明實(shí)施例基于可信度的無(wú)線局域網(wǎng)可信接入系統(tǒng)組成圖。
具體實(shí)施例方式以下結(jié)合附圖以及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述 的具體實(shí)施例僅僅用以解釋本發(fā)明，并不限定本發(fā)明。如圖1所示，本發(fā)明實(shí)施例涉及一種基于可信度的無(wú)線局域網(wǎng)可信接入方法，具 體包括以下步驟第一步，進(jìn)行基于證書(shū)的雙向身份認(rèn)證無(wú)線可信接入點(diǎn)依據(jù)移動(dòng)終端(用戶)所 持有的能證明其身份的數(shù)字證書(shū)，對(duì)接入網(wǎng)絡(luò)用戶的身份進(jìn)行認(rèn)證；本步驟可以基于現(xiàn)有 身份認(rèn)證技術(shù)中的任意一種進(jìn)行身份認(rèn)證。第二步，認(rèn)證結(jié)果判決根據(jù)第一步身份認(rèn)證的結(jié)果，決定用戶是否可以繼續(xù)完成 后續(xù)認(rèn)證流程；如果認(rèn)證成功，則轉(zhuǎn)第三步，如果認(rèn)證失敗，則不允許移動(dòng)終端接入無(wú)線局 域網(wǎng)。第三步，可信度計(jì)算計(jì)算移動(dòng)終端可信度K，以及接入認(rèn)證系統(tǒng)的接入門(mén)限可信 度Ka和補(bǔ)救門(mén)限可信度Κκ。第四步，可信度判決根據(jù)可信度K、補(bǔ)救門(mén)限可信度Kk和接入門(mén)限可信度Ka進(jìn)行 判決，以決定是否允許終端接入無(wú)線局域網(wǎng)或進(jìn)行可信補(bǔ)救。當(dāng)K等于Ka時(shí)，則允許移動(dòng)終 端接入無(wú)線局域網(wǎng)；當(dāng)K小于Kk時(shí)，則不允許移動(dòng)終端接入無(wú)線局域網(wǎng)；當(dāng)Κκ<Κ<ΚΑ時(shí)， 則轉(zhuǎn)步驟五。第五步，可信補(bǔ)救對(duì)符合補(bǔ)救條件(Kk < K < K)的移動(dòng)終端進(jìn)行隔離補(bǔ)救。補(bǔ) 救后再重新進(jìn)行可信認(rèn)證。
下面對(duì)以上各步驟進(jìn)行詳細(xì)的描述由于移動(dòng)終端進(jìn)行可信接入認(rèn)證時(shí)會(huì)與接入認(rèn)證服務(wù)器進(jìn)行信息交互，需要設(shè)計(jì) 可信認(rèn)證協(xié)議，下面，首先介紹本發(fā)明設(shè)計(jì)的可信認(rèn)證協(xié)議?？尚耪J(rèn)證協(xié)議分組格式如圖2所示，各個(gè)組成部分如下代碼0x01表示請(qǐng)求(Request) ；0x02表示響應(yīng)(Response) ；0x03表示成功 (Success) ；0x04 表示失敗(Failure)；標(biāo)識(shí)符用來(lái)匹配請(qǐng)求和響應(yīng)的標(biāo)識(shí)，是一個(gè)隨機(jī)數(shù)；長(zhǎng)度1 表示整個(gè)分組的長(zhǎng)度；類型0xFF，自定義類型，區(qū)別于其他已有的EAP類型；標(biāo)志域F置1表示該分組是承載分片數(shù)據(jù)的第一個(gè)分片；M置1表示該分組有后 續(xù)分片；N置1表示支持EAP-TNC中定義的Diffie-Hellman預(yù)協(xié)商；版本協(xié)議版本，為00001 ；長(zhǎng)度2 表示數(shù)據(jù)分片前的總長(zhǎng)度，當(dāng)F置1時(shí)該域才存在；屬性0χ01表示數(shù)字證書(shū)；0x02表示隨機(jī)數(shù)；0x03表示可信狀態(tài)信息(文件及屬 性)；0x04表示可信度。最多可以擴(kuò)展支持256種不同類型的用戶數(shù)據(jù)；長(zhǎng)度3:表示數(shù)據(jù)域長(zhǎng)度?？尚沤尤?yún)f(xié)議由EAPoL封裝后，再由數(shù)據(jù)鏈路層幀封裝并傳輸，協(xié)議封裝如圖3所
7J\ ο可信接入認(rèn)證流程如圖5所示，圖5中，C表示移動(dòng)終端，S表示可信接入服務(wù)器， E表示無(wú)線可信接入點(diǎn)，PK表示公鑰，SK表示私鑰，Cert表示可信第三方簽發(fā)的證書(shū)，R表 示時(shí)間相關(guān)的隨機(jī)數(shù)，T表示文件的可信狀態(tài)信息，K。表示接入請(qǐng)求點(diǎn)C的可信度。可信接 入認(rèn)證流程具體步驟如下步驟1，C — E =EAPoL-Start, C發(fā)起初始化連接請(qǐng)求；步驟2，E — C =EAP-Req, E向C請(qǐng)求身份證書(shū)以證明其合法性；步驟3，C — E {Certc+RJPKS，S的公鑰加密Certc保證機(jī)密性，即除S以外其他的 C均無(wú)法獲得Certc的明文，R1防止S端的重放攻擊；E — S 認(rèn)證請(qǐng)求 1，E 轉(zhuǎn)發(fā)(Cert^R1IPKs ；步驟4，S解密出Certc并驗(yàn)證其合法性；步驟5，S — E {R^Ts+Rj SKs, S的私鑰簽名Ts保證其完整性以及身份的可證明性， C通過(guò)R1識(shí)別該分組是否是被重放，R2防止C端的重放攻擊；E — C =EAP-Req, E 轉(zhuǎn)發(fā){^+Ts+Rj SKs 并請(qǐng)求 Tc ；步驟6，C對(duì)S的身份進(jìn)行驗(yàn)證并解密出Ts對(duì)S的可信狀態(tài)進(jìn)行驗(yàn)證；步驟7，C — E {R2+Tc} SKc, C的私鑰簽名Tc保證其完整性以及身份的可證明性，S 通過(guò)R2識(shí)別該分組是否是被重放的；E — S 認(rèn)證請(qǐng)求 2，E 轉(zhuǎn)發(fā){R2+Tc} SKc ；步驟8，S驗(yàn)證C的身份并解密出Tc并計(jì)算出Kc，對(duì)C的可信狀態(tài)和可信度進(jìn)行驗(yàn) 證。若驗(yàn)證后的可信度未達(dá)到接入可信度的要求，即K。< Ka,但C具備合法的補(bǔ)救權(quán)限即 Kc < Ke,則S通知C和E執(zhí)行補(bǔ)救操作，若身份認(rèn)證未通過(guò)則支持拒絕C接入；步驟9，S — E :Access-Accept+KC,可信認(rèn)證成功，允許接入并發(fā)送可信度信息；
步驟10，E — C :EAP-Success+KC,認(rèn)證成功，E開(kāi)放端口允許C接入網(wǎng)絡(luò)；步驟11，C ―― E 通信過(guò)程與數(shù)據(jù)收發(fā)；步驟12，C — E =EAPoL-Logoff，退出請(qǐng)求，E收到后將端口狀態(tài)改變?yōu)檎J(rèn)證態(tài)。步驟4、6、8共同實(shí)現(xiàn)了 C與S之間身份信息和可信狀態(tài)信息的雙向驗(yàn)證。而在步 驟8中，S不僅對(duì)所要求的TC進(jìn)行定性判決，還對(duì)根據(jù)可信狀態(tài)計(jì)算出的可信度K進(jìn)行驗(yàn) 證。例如，若Ka為90%，Kk為60%，而實(shí)際驗(yàn)證后的K為85%，則需要實(shí)施適當(dāng)?shù)难a(bǔ)救措 施，然后重新進(jìn)行可信認(rèn)證。步驟8中，可信度的計(jì)算通過(guò)以下步驟移動(dòng)終端一般來(lái)說(shuō)，包含有多個(gè)文件，每個(gè)文件又具備各種不同的屬性，比如版本 號(hào)、日期、大小、簽名、概要、Hash值等。有時(shí)候，文件的屬性可能會(huì)被修改，會(huì)造成安全問(wèn)題。 因此，需要通過(guò)綜合文件各部分屬性的完整性驗(yàn)證結(jié)果，判斷文件的可信程度。不同屬性對(duì) 于文件可信程度的影響各不相同，因此可以對(duì)其賦予不同的權(quán)重，并通過(guò)加權(quán)求和的方法 來(lái)計(jì)算文件可信度。為了使其能更客觀的反應(yīng)文件受信任的狀態(tài)，采用不確定性思想的理論，基于模 糊化處理方法提出一種文件可信度算法。影響文件可信度k的因素包括可信度先驗(yàn)值δ、 可信驗(yàn)證系數(shù)s和f、可信權(quán)重ι若用、表示第i個(gè)文件中第個(gè)j屬性被驗(yàn)證后獲得的 可信度，Sij和、分別表示第i個(gè)文件中第j個(gè)屬性的驗(yàn)證成功系數(shù)和失敗系數(shù)，Wu為第i 個(gè)文件中第j個(gè)屬性的可信權(quán)重，而S i是第i個(gè)文件的可信度先驗(yàn)值。su、fu、Si*、 可以根據(jù)經(jīng)驗(yàn)值獲得，也可以給出數(shù)值后，再通過(guò)有限次的反復(fù)對(duì)比和調(diào)整，以獲得合適的
m
數(shù)值，且Σ>,/ = 1，
7=1則當(dāng)移動(dòng)終端的第i個(gè)文件中第j個(gè)屬性通過(guò)可信驗(yàn)證時(shí)，k.j計(jì)算公式為= δ ^(1-δ ^ Xsij (1)當(dāng)移動(dòng)終端的第i個(gè)文件中第j個(gè)屬性未通過(guò)可信驗(yàn)證時(shí)，k.j計(jì)算公式為= (1-fij) X δ j (2)每個(gè)文件的每個(gè)屬性都有一個(gè)預(yù)期值，即被認(rèn)為安全可信的值。而文件又有可能 被修改，因此，判斷移動(dòng)終端的第i個(gè)文件中第j個(gè)屬性是否通過(guò)可信驗(yàn)證，就是判斷移動(dòng) 終端的第i個(gè)文件中第j個(gè)屬性是否與預(yù)期值一致，如果一致，則通過(guò)可信驗(yàn)證，如果不一 致，則未通過(guò)可信驗(yàn)證。若移動(dòng)終端的第i個(gè)文件總共被驗(yàn)證了 m種屬性，則文件i最終的可信度Iii為
m眾,二Σ wA(3)
7=1例如，同樣選取版本號(hào)、日期、大小、簽名、概要信息、核心代碼Hash值作為某文件 i需要驗(yàn)證的屬性值，將可信度先驗(yàn)值δ i設(shè)為0. 6，各屬性的權(quán)重分配和可信驗(yàn)證系數(shù)配 置可如表1所示表 1
屬性j驗(yàn)證成功系數(shù)(Sij)驗(yàn)證失敗系數(shù)(fij)可信權(quán)重(Wu)
8
權(quán)利要求
一種基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，所述方法包括以下步驟在移動(dòng)終端的接入身份認(rèn)證成功之后，根據(jù)安全參數(shù)設(shè)置計(jì)算接入認(rèn)證系統(tǒng)的接入門(mén)限可信度KA以及所述移動(dòng)終端的可信度K；當(dāng)所述移動(dòng)終端的可信度K等于接入門(mén)限可信度KA時(shí)，允許所述移動(dòng)終端接入無(wú)線局域網(wǎng)。
2.如權(quán)利要求1所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，在移動(dòng)終 端的接入身份認(rèn)證成功之后，還需計(jì)算接入認(rèn)證系統(tǒng)的補(bǔ)救門(mén)限可信度Kk ；當(dāng)所述移動(dòng)終端的可信度K小于補(bǔ)救門(mén)限可信度Kk時(shí)，不允許所述移動(dòng)終端接入無(wú)線 局域網(wǎng)；當(dāng)所述移動(dòng)終端的可信度K大于等于補(bǔ)救門(mén)限可信度Kk、且小于接入門(mén)限可信度Ka時(shí)， 對(duì)所述移動(dòng)終端進(jìn)行可信補(bǔ)救，可信補(bǔ)救之后，重新計(jì)算其可信度K，進(jìn)行重新認(rèn)證。
3.如權(quán)利要求1所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，所述移動(dòng) 終端的可信度K通過(guò)公式(1)計(jì)算K =(ι)/=1其中，Wi為所述移動(dòng)終端第i個(gè)文件的歸一化權(quán)重值；ki為所述移動(dòng)終端第i個(gè)文件 的可信度；η為所述移動(dòng)終端進(jìn)行可信接入認(rèn)證需驗(yàn)證的文件個(gè)數(shù)。
4.如權(quán)利要求3所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，所述移動(dòng) 終端第i個(gè)文件的可信度&通過(guò)公式(2)計(jì)算mk> =Yuwvkn(2)7=1其中，Wu為所述移動(dòng)終端第i個(gè)文件中第j個(gè)屬性的可信權(quán)重；ku為所述移動(dòng)終端第 i個(gè)文件中第j個(gè)屬性的可信度；m為所述移動(dòng)終端第i個(gè)文件需驗(yàn)證的屬性個(gè)數(shù)。
5.如權(quán)利要求4所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，當(dāng)所述移 動(dòng)終端第i個(gè)文件中第j個(gè)屬性通過(guò)可信驗(yàn)證時(shí)，k.j通過(guò)公式(3)計(jì)算= S^(I-Si)Xsij (3)其中，S i為所述移動(dòng)終端第i個(gè)文件的可信度先驗(yàn)值為所述移動(dòng)終端第i個(gè)文件 中屬性j的驗(yàn)證成功系數(shù)。
6.如權(quán)利要求4所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，當(dāng)所述移 動(dòng)終端第i個(gè)文件中第j個(gè)屬性沒(méi)有通過(guò)可信驗(yàn)證時(shí)，k.j通過(guò)公式(4)計(jì)算kjj = (Hij) X δ, (4)其中，S i為所述移動(dòng)終端第i個(gè)文件的可信度先驗(yàn)值為所述移動(dòng)終端第i個(gè)文件 中屬性j的驗(yàn)證失敗系數(shù)。
7.如權(quán)利要求5所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，當(dāng)所屬移 動(dòng)終端進(jìn)行可信接入認(rèn)證時(shí)需驗(yàn)證的所有文件的所有屬性都通過(guò)可信驗(yàn)證時(shí)，根據(jù)公式 (1) (2) (3)計(jì)算出的K值就是Ka。
8.如權(quán)利要求1所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，所述移動(dòng) 終端通過(guò)可信認(rèn)證協(xié)議與可信服務(wù)器進(jìn)行通信，進(jìn)行可信認(rèn)證；2所述可信認(rèn)證協(xié)議的分組格式包括代碼、標(biāo)識(shí)符、長(zhǎng)度1、類型、標(biāo)志域、版本、長(zhǎng)度2、 屬性、長(zhǎng)度3。
9.如權(quán)利要求2所述基于可信度的無(wú)線局域網(wǎng)可信接入方法，其特征在于，所述移動(dòng) 終端與可信補(bǔ)救服務(wù)器需通過(guò)補(bǔ)救協(xié)議進(jìn)行通信；所述補(bǔ)救協(xié)議的分組格式包括消息類型、長(zhǎng)度、補(bǔ)救ID、可信度、資源定位碼其中， 資源定位碼包括相對(duì)定位碼和全局定位碼。
10.一種基于可信度的無(wú)線局域網(wǎng)可信接入系統(tǒng)，包括移動(dòng)終端和無(wú)線可信接入點(diǎn)，其 特征在于，所述系統(tǒng)包括可信接入服務(wù)器，用于在移動(dòng)終端的接入身份認(rèn)證成功之后，計(jì)算所述移動(dòng)終端的可 信度K和接入認(rèn)證系統(tǒng)的接入門(mén)限可信度Ka和補(bǔ)救門(mén)限可信度Kk ；并根據(jù)1(、1和Kk，判定 是否允許所述移動(dòng)終端接入無(wú)線局域網(wǎng)；可信補(bǔ)救服務(wù)器，用于當(dāng)K大于等于Kk、且小于Ka時(shí)，對(duì)所述移動(dòng)終端進(jìn)行補(bǔ)救操作， 以提高其可信度。
全文摘要
本發(fā)明公開(kāi)了一種基于可信度的無(wú)線局域網(wǎng)可信接入方法及系統(tǒng)，所述方法包括以下步驟在移動(dòng)終端的身份認(rèn)證成功之后，根據(jù)安全參數(shù)設(shè)置計(jì)算接入認(rèn)證系統(tǒng)的接入門(mén)限可信度KA以及所述移動(dòng)終端的可信度K；當(dāng)所述移動(dòng)終端的可信度K等于接入門(mén)限可信度KA時(shí)，允許所述移動(dòng)終端接入無(wú)線局域網(wǎng)。本發(fā)明提出的可信接入方法，有利于對(duì)移動(dòng)終端的入網(wǎng)進(jìn)行安全控制；在認(rèn)證過(guò)程中實(shí)現(xiàn)了對(duì)移動(dòng)終端可信狀態(tài)信息的量化評(píng)估，并且針對(duì)不同的可信度實(shí)施不同的處理機(jī)制，認(rèn)證粒度更細(xì)，便于實(shí)際應(yīng)用；另外，本發(fā)明實(shí)施無(wú)需對(duì)現(xiàn)有設(shè)備進(jìn)行較大的改動(dòng)，實(shí)施和部署都比較方便。
文檔編號(hào)H04W12/06GK101951607SQ201010506789
公開(kāi)日2011年1月19日 申請(qǐng)日期2010年10月14日 優(yōu)先權(quán)日2010年10月14日
發(fā)明者張劍, 曾夢(mèng)岐, 肖毅, 鄧永暉 申請(qǐng)人:中國(guó)電子科技集團(tuán)公司第三十研究所